[发明专利]基于服务状态机的反馈式蜜罐系统的识别方法及系统

说明书

本发明公开了一种基于服务状态机的反馈式蜜罐系统的识别方法及系统，其中识别方法包括：利用待检测节点的多个属性的信息构造服务状态机；通过判断所述服务状态机的运行合理性，评估所述待检测节点为蜜罐节点的可能性。其通过对待检测节点的服务状态机的构造，使得通过分析该待检测节点的服务状态机的运行合理性，即能够评估待检测节点为蜜罐节点的可能性，有效解决了高交互、高仿真、多端口情况下的蜜罐识别的难题。

技术领域

本发明涉及网络空间内的设备安全技术领域，特别涉及一种基于服务状态机的反馈式蜜罐系统的识别方法及系统。

背景技术

攻防对抗是网络安全领域的常态，蜜罐作为一种主动诱捕技术，受到产业界的广泛使用。在蜜罐系统设计原理中，是通过逼近真实的仿真环境、交互过程、交互结果，迷惑攻击者，然后通过隔离或混淆的方式隐藏各阶段对数据流的处理痕迹，在此过程中获得攻击者信息并且诱导攻击者到错误的环境，从而达到保护真实目标的目的。

从网络探测角度，准确有效识别蜜罐系统，有利于掌握网络空间态势，同时能有效规避网络空间的陷阱。

通常基于交互仿真差异的识别是攻击者与蜜罐设计者针对目标系统研究的正面对抗， 攻击者可以通过多种方式来识别蜜罐，主要包括协议交互、系统交互、业务交互和时序状态响应方面的特征。

传统的蜜罐识别技术包含以下几种：

1、协议指纹特征：因为，蜜罐系统作为网络节点，自带相关特征信息，所以协议指纹特征主要是针对通信协议的识别，通过协议泄露的信息鉴别设备是否为蜜罐设备，一般低交互蜜罐大多采用此类技术。

2、主机交互特征：该特征一般用于识别主机系统执行环境，如通过虚拟机环境搭建的各种操作环境，因此通过环境识别、后台进程、性能、行为等方法检测是否为蜜罐。

3、时序状态特征：蜜罐系统大多实现静态的交互仿真，并不真实地执行业务请求，因而缺乏对目标系统执行状态变化的模拟，如协议状态机、业务模型的状态转移等，所以该特征由交互状态的识别、业务请求是否执行的检测等方法检测是否为蜜罐。

分析以上识别方法，只能识别低级的蜜罐系统，对高交互的蜜罐仍然无法识别。

发明内容

本发明的一个目的是解决至少上述问题，并提供至少后面将说明的优点。

本发明还有一个目的是提供一种基于服务状态机的反馈式蜜罐系统的识别方法，通过对待检测节点的服务状态机的构造，使得通过分析该待检测节点的服务状态机的运行合理性，即能够评估待检测节点为蜜罐节点的可能性，有效解决了高交互、高仿真、多端口情况下的蜜罐识别的难题。

为了实现这些目的和其它优点，本发明提供了一种基于服务状态机的反馈式蜜罐系统的识别方法，包括：

利用待检测节点的多个属性的信息构造服务状态机，即以IP为维度，端口数量、端口类别和服务类型为约束条件，结合现有的知识库构造服务状态机；

通过判断所述服务状态机的运行合理性，评估所述待检测节点为蜜罐节点的可能性；

其中，判断所述服务状态机的运行合理性具体包括：

A、待检测节点的服务类型与操作系统是否对应；

B、待检测节点的服务类型与ISP提供商是否对应；

C、待检测节点的服务响应内容大小与实际真实服务响应大小是否存在差异；

D、待检测节点的服务响应编码与实际真实服务响应编码是否存在差异；

E、待检测节点的服务应用场景与实际应用场景是否符合；

F、待检测节点的服务指纹与实际指纹是否存在差异；